Zdravím, na základě def pravidla "defconf: drop all not coming from LAN" se zvenčí nedostanu na MK přes Winbox. Dle všemožných návodů (např. https://support.purplewifi.net/en/support/solutions/articles/1000152546-mikrotik-setting-up-remote-winbox-access) jsem nad toto pravidlo vytvořil nové s accept.
Bohužel mi to stejně nefunguje. Dostanu se tam pouze když zakážu to pravidlo drop all.
Věřím, že pro profíky to bude jednohubka, ale ať na netu hledám jak hledám, tak mi stále vyskakují jen stránky s tím accept pravidlem a to mi nefunguje.
Děkuji předem
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Winbox z WAN
Navod je spravne. Musis delat neco blbe. Jak bylo zmineno, posli vypis pravidel.
0 x
Je to easy. Na začátku firewallu musíš přidat pravidlo chain=input protocol=tcp destination_port=8291 action=accept
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."
pravidlo funguje len ho musíš mať v poradí INPUT skorej ako ten drop-all
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Kód: Vybrat vše
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; Allow winbox from WAN
chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
2 X ;;; Kill PS
chain=forward action=drop src-mac-address=F8:46:1C:CD:19:AE log=no log-prefix=""
3 X ;;; Kill Ema Phone
chain=forward action=drop src-mac-address=24:00:BA:8B:C8:60 log=no log-prefix=""
4 X ;;; Kill Adam Phone
chain=forward action=drop src-mac-address=0C:2C:54:52:10:0C log=no log-prefix=""
5 X ;;; Kill Markeeta
chain=forward action=drop src-mac-address=54:EF:92:A7:2A:5C log=no log-prefix=""
6 X ;;; Kill Ema Tablet
chain=forward action=drop src-mac-address=74:04:2B:E7:EE:2F log=no log-prefix=""
7 X ;;; Kill Adam Tablet
chain=forward action=drop src-mac-address=6C:F3:73:11:8D:B5 log=no log-prefix=""
8 X ;;; Kill RaspiPokoj
chain=forward action=drop src-mac-address=B8:27:EB:3B:3A:65 log=no log-prefix=""
9 X ;;; Kill Adam NTB
chain=forward action=drop src-mac-address=00:1F:3C:25:02:3B log=no log-prefix=""
10 X ;;; Kill Ema NTB
chain=forward action=drop src-mac-address=00:21:6A:01:F6:C2 log=no log-prefix=""
11 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""
12 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
13 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""
14 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
15 ;;; defconf: accept in ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec
16 ;;; defconf: accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
17 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
18 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""
19 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
20 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""
0 x
Jen vyzdvihuji aby příspěvek nezapadl.
Napadá vás někoho proč to nefunguje?
Děkuji
Napadá vás někoho proč to nefunguje?
Děkuji
0 x
Ahoj.
Pokud se to chová jak píšeš v prvním příspěvku, zapni si na tom zakazujícím pravidle logování, zkus přístup Winboxem z venku a podívej se do logu, mohlo by Ti to napovědět.
Pokud se to chová jak píšeš v prvním příspěvku, zapni si na tom zakazujícím pravidle logování, zkus přístup Winboxem z venku a podívej se do logu, mohlo by Ti to napovědět.
0 x
Jo, děkuju moc.
Jsem prostě pako a myslel jsem si, že když se hlásím aplikací z androidu, tak to jde přes stejný port. No nejde, tam to jde přes api 8728.
Přidal jsem ho do toho pravidla k 8291 a už to maká.
Ještě jednou děkuji moc.
Jsem prostě pako a myslel jsem si, že když se hlásím aplikací z androidu, tak to jde přes stejný port. No nejde, tam to jde přes api 8728.
Přidal jsem ho do toho pravidla k 8291 a už to maká.
Ještě jednou děkuji moc.
0 x
Ponechávat API dostupné z internetu není moc dobrý nápad.
Vypadá to, že je tam bezpečnostní díra.
Vypadá to, že je tam bezpečnostní díra.
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."
jval píše:Jo, děkuju moc.
Jsem prostě pako a myslel jsem si, že když se hlásím aplikací z androidu, tak to jde přes stejný port. No nejde, tam to jde přes api 8728.
Přidal jsem ho do toho pravidla k 8291 a už to maká.
Ještě jednou děkuji moc.
Winbox z Androidu?
0 x
Ano vím o něm, ale zatím jsem se nedokopal přendat uložené spojení z https://play.google.com/store/apps/details?id=com.birkot.mikrowinbox.pro, který používám už dlouho.
0 x
není bezbečné nechávat povolené api z wan ani winbox na default portu 8291
tohle bude chodit na všech interfaces, doporučuju udělat address list white list a omezit to na ip z addresslistu alespoň
Kód: Vybrat vše
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp
tohle bude chodit na všech interfaces, doporučuju udělat address list white list a omezit to na ip z addresslistu alespoň
0 x
Machča
Všechno jde, jen dřevěná koza a malý děti něchtěj jít.
Všechno jde, jen dřevěná koza a malý děti něchtěj jít.
No na jiný port to asi přehodím, to je fakt, ale address list nepřipadá v úvahu, protože potřebuji zapínat/vypínat FW pravidla ať jsem kdekoliv.
Díky
Díky
0 x